Tempo scaduto, ma come era prevedibile, Usa e Ue non hanno ancora trovato un’intesa su un nuovo Safe Harbor, l’accordo che regola il trasferimento di dati a scopo commerciale tra Ue e Usa invalidato dalla Corte europea di giustizia lo scorso ottobre.
I garanti privacy europei avevano fissato alla fine di gennaio la data ultima per trovare un accordo, sottolineando che in mancanza di una soluzione adeguata con le autorità americane, “…le autorità europee per la protezione dei dati si impegneranno a intraprendere tutte le azioni appropriate e necessarie, incluse azioni coordinate di esecuzione” della sentenza.
Anche il Garante italiano, Antonello Soro, ha preso posizione sulla questione, incitando il premier Matteo Renzi a intervenire presso le istituzioni dell’Unione per siglare un nuovo accordo “rispettoso dei diritti dei cittadini europei” e per tutelare tutte quelle aziende che avevano sottoscritto il Safe Harbor e ora sono costrette ad andare avanti con nuove clausole contrattuali interne, oppure continuano a trasferire dati senza base giuridica.
Un pericolo, quello del ‘limbo giuridico’ in cui sono costrette a operare oltre 4.000 aziende europee, stigmatizzato anche dal think tank tedesco Cologne Institute for Economic Research.
Giusto per capire come funziona l’accordo – che, lo ricordiamo, si basa sull’auto-certificazione delle aziende che vi hanno aderito su base volontaria, ma con regole vincolanti, e sulla successiva notifica, annua, al Dipartimento del Commercio degli Stati Uniti – riportiamo di seguito due esempi concreti: nel momento in cui una società come la francese Orange usa i servizi di cloud computing di Amazon US ai fini di archiviazione dei dati, affinché i dati personali dei clienti di Orange France possano essere trasferiti al di fuori della Ue, Amazon US ha aderito al Safe Harbour, che rappresenta un’alternativa a un accordo contrattuale specifico tra le due società per quanto riguarda il trattamento dei dati personali; o ancora: una società globale, come Mastercard, con sede negli Usa ma con tanti clienti nella Ue, per poter canalizzare la grande quantità di dati personali coinvolti nelle operazioni, non si può fare ricorso a vincolanti norme d’impresa come avviene di solito all’interno di un gruppo societario. Il regime di Safe Harbour offre la flessibilità che una tale organizzazione globale necessita per lo svolgimento di queste operazioni.
Gli incontri della scorsa settimana a Bruxelles tra i rappresentanti della Ue e quelli del Dipartimento del Commercio e della Federal Trade Commission e di altre agenzie americane non hanno dato i frutti auspicati, nonostante le diverse e importanti ‘concessioni’ degli Usa alle loro controparti europee (almeno stando ai resoconti della stampa Usa).
Tra queste concessioni, un maggiore controllo dell’Europa sugli accessi dell’intelligence ai dati degli europei e la creazione di una sorta di difensore civico dei dati all’interno del Dipartimento di Stato così da dare agli europei un punto di contatto diretto in caso di presunti abusi dei dati.
Impegni che tuttavia per gli europei sono risultati troppo vaghi su questioni estremamente delicate quali, in particolare, i confini entro i quali limitare l’accesso dell’intelligence ai dati dei cittadini europei o le modalità che consentiranno agli europei di vedere riconosciute le loro istanze nei tribunali d’oltreoceano.
Difficile, pertanto, che si giunga a un accordo riparatore prima di due giorni vista la distanza su punti fondamentali dell’accordo.
I garanti europei, la cui presa di posizione ufficiale dopo il fallimento dei negoziati è attesa per mercoledì, potrebbero a questo punto decidere di contestare alcuni dei metodi, legali, alternativi al Safe Harbor, utilizzati dalle aziende americane – come le cosiddette Model Contract Clauses – impedendo così il prosieguo della loro attività.
Dal trasferimento e dalla successiva gestione dei dati dipendono ormai le attività di molte aziende: le informazioni sono utilizzate dai giganti di internet per confezionare pubblicità su misura dei clienti online – un business da svariati miliardi di euro – mentre molte multinazionali anche non strettamente tecnologiche hanno necessità di spostare da una parte all’altra dell’oceano i dati di clienti e dipendenti o dei prodotti realizzati o utilizzati.
Nessuna di queste grandi aziende ha cambiato modo di operare in seguito alla sentenza della Corte di Giustizia, né prevede di farlo a stretto giro, ma molte si sono dotate di squadre legali ad hoc per tutelarsi in caso il limbo giuridico nel quale si trovano costrette ad operare continui ancora molto tempo.
Tanto più che la mancanza di un accordo impensierisce molto di più le piccole imprese, che non possono permettersi uno stuolo di avvocati iper-pagati.
“C’è molta incertezza”, ha riferito un noto legale di Bruxelles, che rappresenta alcune delle aziende direttamente coinvolte nella questione.
“Abbiamo bisogno di una soluzione. Le attività globali dipendono dal trasferimento dei dati ed è una cosa che non si può fermare né impedire”, ha aggiunto.
La questione non è strettamente ristretta ai mesi successivi alla sentenza della Corte Ue, dato che la Ue sta chiedendo agli Usa di fare maggiori sforzi per ripristinare un clima di fiducia negli scambi di dati fra Europa e gli USA dal 2013, ossia dallo scoppio del cosiddetto ‘datagate’, che fece conoscere al mondo in tutta la sua ampiezza le attività di spionaggio delle comunicazioni a opera dell’intelligence Usa.
Allora, la Commissione presentò agli Usa 13 raccomandazioni per migliorare il funzionamento del regime del Safe Harbor, giudicato “carente sotto parecchi aspetti” già, quindi, ben prima della sentenza della Corte Ue, la quale, tuttavia, ha reso l’azione più urgente.
